●●銀行 API の利用に関する契約書(Ver1.1)
●●銀行 API の利用に関する契約書(Ver1.1)
●●銀行 (以下「甲」という。)と、●●株式会社(以下「乙」という。)は、甲が提供する本件参照系 API(第 1 条に定義される。)の利用に関し、以下のとおり契約
(以下「本契約」という。)を締結する。なお、甲乙間において、本件参照系 API 以外の形態での更新系を含む API の提供・利用を行う場合には、本契約書に対する追加覚書を締結することにより対応するものとする。
第 1 条(定義)
本契約において、以下の用語は、以下に定義する意味を有する。
(1) 「本件参照系API」とは、甲に預金又は定期積金等の口座を開設している預金者等の委託(二以上の段階にわたる委託を含む。)を受けて、電子情報処理組織を使用する方法により、甲から当該口座に係る情報を取得し、これを当該預金者等に提供する(他の者を介する方法により提供すること及び当該情報を加工した情報を提供することを含む。)サービスを提供するアプリケーション・プログラミング・インターフェースであって、甲が乙に別途差し入れる仕様書(以下「API仕様書」という。)の仕様によるものをいう。なお、甲は、API仕様書を変更する旨及び変更後の API 仕様書を乙に対して 60 営業日前に通知することにより、乙の同意を得ることなく、API 仕様書を変更することができるものとする。
(2) 「本件銀行機能」とは、甲が甲の顧客に対して提供している銀行サービスに係る機能をいう。
(3) 「本件サービス」とは、乙が顧客に対し提供する、別紙【1】(本件サービス)記載の、本件参照系 API を用いた API 連携に関するサービスをいう。更新系 API を用いた API 連携サービスを乙が顧客に提供する場合には、別途甲乙間で覚書を締結する。
(4) 「本件情報」とは、本件参照系 API を通じて甲から乙に対して提供される情報
(預金残高、入出金明細等の情報を含むが、これらに限らない。)をいう。但し、当該情報に何らかの削除、追加、変更又は加工等した情報は除く。
(5) 「顧客」とは、本件サービスを利用することに同意した個人及び法人であって、甲の銀行口座の保有者(本件サービスに際して口座開設する場合を含む。)をいう。
(6) 「甲の利用規約」とは、本件サービスに関連して甲が顧客に提供する利用規約をいう。
(7) 「乙の利用規約」とは、本件サービスについて乙が顧客に提供する利用規約をいう。
(8) 「アクセストークン」とは、顧客が甲の提供する API 連携認証システム上で ID 及びパスワード等を入力すること、又は、リフレッシュトークンを利用することにより、甲が乙に発行し、乙が本件参照系 API を通じて甲のシステムにアクセスするために必要となるトークンをいう。
(9) 「リフレッシュトークン」とは、アクセストークンについて有効期限が経過した場合において、再度顧客による認証を経ることなく、アクセストークンの提供を受けることができるトークンであって、このリフレッシュトークンを利用することで、新しいアクセストークン及びそれに関連するリフレッシュトークンを甲から発行される(但し、リフレッシュトークンの有効期間内である場合に限る。)ものをいう。
(10) 「検証環境」とは、本件参照系 API を利用するソフトウェアの動作確認を行うた
めに別途開放する甲のシステムの検証環境をいう。
(11) 「検証環境試験」とは、乙が本番接続試験に先立って、本件参照系 API を利用するソフトウェアを本件参照系 API に係る仕様に準拠していることを検証するために検証環境を利用して行われる内容の試験をいう。
(12) 「本番接続試験」とは、本件参照系 API を利用するソフトウェアが甲のシステムに接続するに当たって本件参照系 API に係る仕様に準拠しているか否かについて検証するために甲が設ける試験をいう。
第 2 条(本契約の目的)
本契約は、乙が顧客への本件サービスの提供を行うことに関して、本件参照系 API を利用する権利を甲が乙に付与することを目的とする。
第 3 条(使用許諾)
1. 甲は、本契約の条件に従い、乙に対し、本件参照系 API を利用する譲渡不能(但 し、第 10 条に定める連鎖接続は禁止されない。)かつ非独占的使用権を許諾する。
2. 乙は、本件参照系 API を利用することにより、本件サービスに関し甲の利用規約及び乙の利用規約に同意した顧客に係る本件情報を取得する。
3. 乙は本件サービスを提供する目的の範囲内で、本件参照系 API を利用することができる。また、乙は、本件サービスの開発・運用・提供に係る業務の全部若しくは一部を第三者に対して委託し、第三者と共同で実施すること(当該委託若しくは共同実施に合理的に必要な範囲内で、本件参照系 API を当該第三者に利用させることを含む。)、又は第 10 条(API 連鎖接続先)の定めに従い第三者と連携することができるものとする。
4. 乙は、前項に従い第三者に業務を委託又は共同実施する場合、当該第三者が当該業務の委託又は共同実施に基づき本契約上の義務に違反する行為を行ったときには、当該第三者の行為を自己の行為とみなして、本契約に基づく責任を負担するものとする。
第 4 条(トークン管理等)
1. 乙は、本件参照系 API を利用するに際しては、甲が発行したアクセストークン及びリフレッシュトークンを利用しなければならない。
2. 乙は、甲が発行したアクセストークン及びリフレッシュトークンを自己の費用と責任において厳重に管理するものとし、アクセストークン及びリフレッシュトークンを第三者に利用させたり、貸与、譲渡、売買、質入れ等をしてはならないものとする。但し、乙が第 3 条第 3 項に基づき業務を委託し、又は共同で実施する第三者(以下「提携第三者」という。)に対しては、アクセストークン及びリフレッシュトークンを利用等させることができるものとする。
3. 乙が法人の場合、本件サービスを提供するための正当な権限を有する役員、顧問・相談役又は従業員以外の者にアクセストークン及びリフレッシュトークンを利用させてはならないものとする。
4. 甲が発行したアクセストークンを利用して、乙が本件参照系 API を利用した場合 には、顧客が本件サービスの利用を通じて甲に本件情報の提供を請求したものと みなし、甲は本件情報を顧客からの請求に基づき乙に対して提供するものとする。
5. 乙は、アクセストークン又はリフレッシュトークンの盗難、不正利用の事実を知った場合、直ちにその旨を甲に対して通知するものとし、甲から指示があった場合には、これに従って対応するものとする。
6. 乙のアクセストークン又はリフレッシュトークンの管理が不十分であること、若しくは乙のアクセストークン又はリフレッシュトークンの使用に過誤があることに起因して、甲、乙又は顧客その他の第三者に損害が発生した場合、甲に故意又は過失がある場合を除き、当該損害に関する責任は乙が負担するものとする。
第 5 条(検証環境の利用及び検証環境試験)
1. 乙は、本件サービスを提供するに当たり、動作確認、検証環境試験を行うため甲の提供する検証環境を利用することができる。
2. 乙は、次条の本番接続試験を実施するに当たっては、別途定める検証環境試験を行い、甲の検査に合格しなければならない。
第 6 条(本番接続試験)
乙は、本件サービスを提供するに当たっては、別途定める本番接続試験を行い、甲の検査に合格しなければならない。
第 7 条(顧客保護)
1. 乙は、本件サービスの継続的提供に重大な影響を及ぼし、又は及ぼすおそれのある事由(本件サービスの提供に利用するシステムに関する重大なシステム障害、本件サービスの提供に関する重大な事務手続に起因する障害及び本件サービスの提供に関与する乙又は提携第三者の従業員による不祥事の発生などを含むがこれらに限られない。以下「事故等」という。)が発生した場合には、直ちに甲に報告するものとする。
2. 事故等が発生した場合、甲及び乙は、協働して当該事故等の発生原因を特定、除去するとともに、事故等による損害の拡大を防止するための措置及び再発防止のための措置をそれぞれ講じるものとする。
3. 事故等が発生した場合、当該事故等が乙(提携第三者を含む。以下、本項及び第 12 項において同じ。)の責のみに帰すべき事由によるときは、前項に定める措置 を講じるために必要となる費用は全額乙の負担とし、事故等が甲(甲の委託先を 含む。以下、本項及び第 12 項において同じ。)の責に帰すべき事由によるときは、前項の措置を講じるために必要となる費用は全額甲の負担とする。但し、甲及び 乙双方の責に帰すべき事由によるときは、双方の責に帰すべき事由の大きさを考 慮して、誠実に協議して決定するものとする。なお、甲及び乙のいずれの責に帰 すこともできない事由によるときは、必要な措置を講じるために必要となる費用 の負担につき、xxxxに協議のうえ決定するものとする。
4. 事故等が、xxx乙の監督官庁に対して報告が必要な事由に該当する場合には、甲及び乙は、相手方が監督官庁に報告するために必要な資料の提供その他の協力を行うものとする。事故等によって甲の業務に重大な影響が生じるおそれがある場合には、乙は直ちに甲に連絡し事故等の内容について報告する。【報告書 P31o 項(3.4.1(o))】
5. 甲は、乙から事故等に関する報告を受け、当該事故等が本件銀行機能に起因すると判断した場合、遅滞なく当該事故等の内容の解析を実施するとともに本件銀行機能の復旧に必要となる措置を講じ、事故等の内容と復旧措置について、乙に対し回答する。他方、当該事故等が本件サービスに起因する場合、乙は、遅滞なく事故等の内容の解析を実施するとともに本件サービスの復旧に必要となる措置を講じ、事故等の内容と復旧措置について、甲に対し回答する。前 2 文に定めるほか、本件サービスの復旧に必要な事項が生じた場合には、甲乙協議の上それぞれ
必要な措置を行うものとする。
6. 甲又は乙の都合により本件サービスを停止する場合、乙は、顧客に対し、一定期間の事前通知期間を設定のうえ、その旨を通知しなければならない。但し、緊急に本件サービスを停止せざるをえない理由がある場合には、この限りでない。また、甲の都合により本件サービスを停止する場合、甲は、本件サービスの停止を開始する予定の日の 20 営業日前までに乙に対し(ⅰ)本件サービス停止開始予定日及び(ⅱ)本件サービス停止予定期間を乙に対し通知するものとする。【報告 書 P32p 項(3.4.1(p))】
7. 乙が虚偽又は意図的に誤認を招く表示を行っていることが判明した場合には、甲は、乙に対して是正を求めることができ、顧客保護の観点から必要な場合には、乙のアクセス権限の制限、停止若しくは取消又は、関係当局への通報等の措置を講じることができる。【報告書 P33h 項(3.4.2(h))】
8. 甲及び乙は、顧客からの相談、照会、苦情、その他の問合せ(以下、「苦情等」という。)があった場合、別紙【2】(問い合わせ対応)に記載する役割分担及び業務フローに基づいて対応するものとする。【報告書 P33i(3.4.2(i)】但し、苦情等に基づいて顧客に損害が発生した場合において、当該損害についての顧客に対する賠償又は補償については、本条第 11 項の規定に従うものとし、顧客の苦情等の窓口は甲の不正アクセス等対応窓口とする。但し、乙は顧客への窓口変更の連絡や顧客対応の必要が高い場合等に、必要な範囲において乙が対応を継続することは妨げられない。
9. 乙は、顧客において本件サービスのために使用するパスワード等の紛失若しくは漏洩又は不正アクセスの懸念が生じた場合には、直ちに乙に対して連絡することが必要である旨、顧客に対して、事前に説明するものとする。【報告書 P33b
(3.4.3(b))】
10. 甲又は乙において不正アクセス又は情報流出若しくは漏洩等が判明した場合、別紙【3】(被害拡大防止に向けた必要な態勢の整備)に記載する手順に従い、速やかに、甲においてはアクセス権限の制限、停止、取消を、乙においては本件サービスの提供の制限、停止を行うものとする。【報告書 P29a(3.3.4(a))】
【別紙【2】(問い合わせ対応)】
(1) 本件サービスに関して、乙の顧客から相談、照会、苦情その他の問い合わせ
(別紙 2 において、以下「苦情等」という。)が甲又は乙に寄せられた場合には、一次的に乙が対応するものとし、乙は当該苦情等について適切に対応することとする。なお、当該苦情等が甲に寄せられた場合には、甲は、当該顧客に対して、必要な場合は適宜の方式により同意を求めた上で、乙の対応窓口の連絡先を示して、乙が一次的な対応を行う旨を説明するものとする。
(2) 前項に従って乙が一次的な対応を行った場合において、乙は、顧客からの苦情等が本件サービスについてのものである場合には、自ら対応するものとする。
(3) 乙は、当該苦情等の対応に必要な場合、甲に対し協力を要請できるものとし、この場合、甲は、実務上可能な範囲で、遅滞なく、乙に協力するものとする。
(4) 乙は、顧客からの苦情等が本件参照系 API の使用方法に関するものであると判断した場合その他乙の本件サービス自体に関するものでないと合理的に判断した場合、甲に対し、当該苦情等への対応に必要な事項を問い合せることができる。
(5) 乙は、苦情等が、(i)甲の顧客に対して提供する本件銀行機能に関するものと判断する場合、又は(ii)第 7 条第 11 項に従い顧客に対して補償を行う必要があると
判断する場合、顧客に対して、甲の問合せ窓口を案内し、甲において以降の苦情等の対応を行う旨を説明することができる。ただし、乙は、適宜の方式により顧客から同意を得て、甲に対し、当該苦情等に関する連絡を行い、必要な対応を求めることができるものとする。
(6) 前項に定める場合、甲は、当該顧客の苦情等について、当該苦情等が甲の本件銀行機能に関するものでないことが明らかになった場合を除き、適切且つ迅速に対応するものとする。
(7) 甲は、当該苦情等の対応に必要であり、かつ甲が対応困難である場合、乙に対し、合理的な範囲で協力を要請できるものとする。乙は、これに応じない合理的な理由がある場合を除き、実務上可能な範囲で、甲に協力するものとする。
(8) 甲及び乙において、顧客からの苦情等の内容が、専ら甲の本件銀行機能又は乙の本件サービスのいずれのサービスに関するものか明らかでない場合には、それが明らかになるまでは、乙において当該顧客の苦情等の対応を行うものとする。ただし、この場合、乙は、甲に対して必要な協力を求めることができるものとし、甲は、実務上可能な範囲で、乙に協力するものとする。
(9) 甲及び乙は、苦情等に対応するための窓口をそれぞれ設置し、相手方に対し、当該窓口の連絡先を通知するものとする。なお、甲及び乙は、苦情等に対応するための窓口を、廃止、変更又は追加等した場合、相手方に対し、速やかにその内容を通知するものとする。
【別紙【3】(被害拡大防止に向けた必要な態勢の整備)】
(1) 甲及び乙は、本件参照系 API に関連した不正アクセス又は情報流出若しくは漏洩(別紙 3 において、以下「不正アクセス等」という。)が判明した場合、ただちに他方に連絡する。なお、甲及び乙は、本契約締結後、速やかに、この場合の連絡先及び連絡方法等を、書面又は電磁的記録にて取り決めておくものとする【報告書 P34b(3.4.4(b))】
(2) 甲及び乙は、甲乙間で当該不正アクセス等に関する情報連携を相互に行うとともに、遅滞なく当該不正アクセス等の原因を調査し、顧客保護に必要な事項その他当該不正アクセス等に対する対策を協議する。【報告書 P29c(3.3.4(c))】
(3) 乙が複数の銀行と API 接続している場合において、他の銀行においても同様の不正アクセス等の事案が発生した場合又は発生するおそれがある場合には、乙は、甲に対してただちにその旨を連絡する。【報告書 P34c(3.4.4(c))】
(4) 甲及び乙は、不正アクセス等発生時に、当該不正アクセス等の原因の調査及び顧客保護に必要な事項その他当該不正アクセス等に対する対策の検討を行うため、適切なアクセスログの記録及び保存を行うものとする。【報告書 P29c
(3.3.4(b))】
11. 甲及び乙は、顧客に対する速やかな被害回復及び補償を実現するため、本条第1 項に定める事故等に限らず、不正アクセス等が発生した場合の対応窓口や、顧客に損害が生じた場合の補償及び返金方法並びに補償範囲について、別紙【4】(顧客に対する補償)の通り合意する。【報告書 P35c(3.4.5(c))】
12. 甲は、甲が前項の規定にしたがって顧客に対し賠償又は補償をした場合、当該損害を発生させた原因が乙の責に帰すべき事由によるときは、当該賠償額または補償額を乙に求償することができる。また、当該損害を発生させた原因が甲及び乙双方の責めに帰すべき事由によるときは、甲は、乙に対し双方の責に帰すべき事由の大きさを考慮して、誠実に協議して決定した額を求償することができる。な
お、甲が前項の規定にしたがって顧客に対し賠償又は補償をした場合において、当該損害を発生させた原因が甲及び乙のいずれの責に帰すこともできない事由によるときは、甲乙誠実に協議のうえ、甲から乙に対する求償の可否及び求償額を決定するものとする。
13. 甲及び乙は、別紙【4】(顧客に対する補償)の内容を顧客が常時確認できるように、ウェブサイト等において表示する。乙は、顧客が本件サービスの利用契約を締結する際に、乙の利用規約その他本件サービスの説明を画面表示すること等により、顧客が賠償又は補償を求める際の対応窓口やその方法について十分認識できるよう努めなければならない。【報告書 P35d(3.4.5(d))】
【別紙【4】(顧客に対する補償)】【報告書 P35e~P36j(3.4.5(e)~(j))】
I. 顧客に対する賠償又は補償
【⇒xxxx://xxx.xxxxxxxxx.xx.xx/xxxxxxxx/xxxx/xxxxxx/xxx/0000/xx。】
(1) 不正アクセス、情報流出、システム上の不具合等(以下、「不正アクセス等」という。)による情報漏洩に関する損害については、次の各号のすべてに該当する場合、顧客は甲に対して当該損害の補てんを請求することができる。
① 不正アクセス等に気づいてから速やかに、甲への通知が行われていること
② 甲の調査に対し、顧客より十分な説明が行われていること
(2) 前項の請求がなされた場合、当該不正アクセス等が顧客の故意または重大な過失による場合を除き、甲は、甲に通知が行われた日の 30 日(但し、甲に通知することができないやむを得ない事情があることを顧客が証明した場合は、30 日にその事情が継続している期間を加えた日数とする。)前の日以降になされた不正アクセス等に関する損害の額(以下「補てん対象額」という。)を補てんするものとする。
(3) 前2項の規定は、第1項に係る甲への通知が、不正アクセス等がなされた日から、2年を経過する日後に行われた場合には、適用されない。
(4) 第2項の規定にかかわらず、次のいずれかに該当する場合には、甲は補てんしない。
① 当該不正アクセス等について甲および乙が善意かつ無過失であり、かつ、次のいずれかに該当すること
<個人顧客の場合>
A 当該不正アクセス等が顧客の重大な過失により行われたこと
B 当該不正xxxx等が顧客の配偶者、二親等内の親族、同居の親族その他の同居人、又は家事使用人によって行われたこと
C 顧客が、被害状況についての甲に対する説明において、重要な事項について偽りの説明を行ったこと
<法人顧客の場合>
A 以下のような対応が顧客において実施されていない場合
(i) 甲が別途指定するセキュリティ対策の導入
(ii) 身に覚えのない残高変動や不正取引が発生した場合の、一定期間内の甲への通報 (iii)当該不正アクセス等が発生した場合の、甲による調査及び警察による捜査への協力
B 顧客に過失があると考えられる以下のような事象が認められる場合
(i) 正当な理由なく、他人に ID・パスワード等を回答してしまった、あるいは、安易に乱数表やトークン等を渡してしまった場合
(ii) パソコンや携帯電話等が盗難に遭った場合において、ID・パスワード等をパソコンや携帯電話等に保存していた場合
(iii) 甲が注意喚起しているにも関わらず、注意喚起された方法で、メール型のフィッシングに騙される等、不用意に ID・パスワード等を入力してしまった場合
C その他、以下のような事例に相当するケース
(i) 会社関係者の犯行であることが判明した場合
(ii) 顧客が、被害状況についての甲に対する説明において、重要な事項について偽りの説明を行った場合
(iii) その他、上記 B の場合と同程度の注意義務違反が認められた場合
②不正アクセス等が、戦争、暴動等による著しい社会秩序の混乱に乗じ又はこれに付随して行われたこと
(5) 甲が第2項の規定により補てんを行ったときは、甲は、当該補てんを行った金額の限度において、不正アクセス等により第三者に対して顧客が有する損害賠償請求権を取得する。
II. 対応窓口
不正アクセス等が発生した場合の顧客対応窓口は甲において設けるものとする。
III. その他
甲及び乙は、不正アクセス等により顧客の預金口座から不正な払戻しが行われたとことを理由とする顧客からの請求があり、これにより当該顧客に生じた損害を甲が補償した場合であっても、本件参照系 API が乙に送金指示の権限を一切与えるものでないことを踏まえ、乙はこれに責任を負うものではなく、甲は、乙に対して、当該補償額について求償することはできないものとする。
第 8 条(セキュリティ)
1. 乙は、本件情報を乙の利用規約に定める目的にのみ利用するものとし、第三者
(提携第三者を除く。)に開示、漏えいしてはならないものとする。但し、以下の場合又は顧客の指示若しくは承諾がある場合を除くものとする。また、関係監督官庁、裁判所、その他政府機関より要請があった場合及び法令等にもとづく場合、乙は、甲に通知を行うことにより、開示することができるものとする。
(1) 甲から開示を受けた後に、乙の責に帰すことができない事由により公知となった情報
(2) 甲から開示を受ける前に、乙が知得していた情報
(3) 甲から開示を受ける前に、公知となっていた情報
(4) 乙が甲から開示を受けた情報によらず独自に開発した情報
(5) 乙が正当な権限を有する第三者から秘密保持義務を負うことなく正当に入手
した情報
2. 前項の規定に関わらず、個人情報保護法第 2 条第 1 項に定める「個人情報」の取扱いについては、個人情報保護関連法令の規定に従うものとする。
3. 乙は、本件情報に係る個人データの漏えい、滅失及び毀損の防止その他の個人データの安全管理のため、社内規程の整備等の組織的安全管理措置、従業者に対する教育・訓練等の人的安全管理措置、入退室管理、盗難等の防止、機器・装置等の物理的な保護等の物理的安全管理措置、ファイヤーウォールの設置、利用者の識別・認証等の技術的安全管理措置を講じなければならない。
4. 甲は、乙の情報セキュリティに関連した適格性に懸念があると判断した場合には、乙に対して改善を求め、顧客保護の観点から、必要な場合には乙のアクセス権限 の制限、停止、取消を行うことができる。【報告書 P23j(3.3.1(j))】
5. 甲による本件参照系 API の提供に関し、甲が顧客の IP アドレスや認証失敗回数等の不正検知に活用するため必要とする場合には、乙は、取引のリスクに応じて合理的な範囲で、不正検知に必要な情報が甲に提供される仕組みを構築するよう努めるものとする。【報告書 P27w(3.3.2(w))】
第 9 条(モニタリング)【報告書 P22i(3.3.1(i))】
1. 甲は、乙の情報セキュリティ体制の整備状況について、乙に定期的に報告を求めることができるものし、乙は合理的な範囲でこれに応じるものとする。
2. 乙は、監督当局等の甲に対する検査・監督上の要請がある場合、乙の提供・運営するアプリケーションにおけるサービスと本件銀行機能との連携に関する資料・報告書の提出、甲の立ち入り調査等に協力するものとする。
3. 甲は、乙の顧客保護態勢等に関する適格性に懸念があると判断した場合には、乙 に対し改善を求め、顧客保護の観点から必要な場合には乙のアクセス権限の制限、停止、取消を行うことができる。【報告書 P31j(3.4.1(j))】
第 10 条(API 連鎖接続先)【報告書 P37b~e(3.5(b)~(e))】
1. 乙は、顧客が同意をした第三者に対し、本件情報を乙が提供する API の接続先として提供することができる。この場合、乙は、当該乙が提供する API 接続先との接続後、相当な期間内に甲に対し当該 API 接続先と接続した旨の通知をするものとする(乙が提供する API の接続先を以下「API 連鎖接続先」という。)。
2. 前項の場合において、乙は、本契約に基づいて乙が甲に対して負担するのと同様の義務を、API 連鎖接続先に負わせる契約(以下「API 連鎖接続契約」という。)を締結するものとし、その履行状況を本契約第 9 条に規定するところを参考として、実務上合理的に実施可能な範囲で適切にモニタリングするものとする。
3. 乙は、API 連鎖接続先のAPI 連鎖接続契約の不履行について甲の責に帰すべき事由がある場合を除き、API 連鎖接続先と連帯して責任を負うものとする。
4. 甲は、API連鎖接続先の情報セキュリティに関連した適格性に懸念があると判断した場合には、乙に対して改善を求め、顧客保護の観点から、必要な場合には乙のアクセス権限の制限、停止、取消を行うことができる。
第 11 条(禁止行為)
1. 乙は、以下の行為を行ってはならない。
(1) 本件参照系 API 又は API を経由してアクセスする甲のシステム若しくは甲のプログラムの全部若しくは一部を第三者(提携第三者を除く。)に対する使用許諾、譲渡、承継、貸与又は担保の目的に供する行為
(2) 本件参照系 API 又は API を経由してアクセスする甲のシステム若しくは甲のプログラムの全部若しくは一部につき、複製、改変、翻案、解析、リバース・エンジニアリング、逆アセンブル、逆コンパイル等を行う行為
(3) 本契約に定める方法若しくは甲の指定する方法以外の方法又は本契約の目的以外の目的により本件参照系 API を使用する行為
(4) 本件参照系 API に付されている甲の著作権表示及びその他の権利表示を削除し、又は改変する行為
(5) 甲、甲の提携先、乙以外の本件参照系 API の利用者又は第三者の知的財産権を侵害する行為
(6) 甲、甲の提携先、乙以外の本件参照系 API の利用者又は第三者の財産・信用・名誉等を毀損する行為又はプライバシーに関する権利、肖像権その他の権利を侵害する行為
(7) 動作確認、検証環境試験以外の目的で検証環境に接続する行為
(8) 第 5 条第 2 項の検査に合格することなく、本番接続試験を実施する行為
(9) 第 6 条の検査に合格することなく、本サービスを提供する行為
(10) 甲の事前の書面による同意を得ることなく甲の社名及び登録商標等を使用する行為
(11) 本件参照系API 及びその派生物を第 3 条第 3 項に定める目的の範囲外で使用する行為
(12) インターネットアクセスポイントを不明にする行為
(13) 甲のシステムの負荷を著しく増加させる行為
(14) 銀行法その他各種法令及び諸規則に抵触する行為(銀行法に定める銀行代理業に該当する行為を含むが、これらに限られない。)
(15) 甲の事前の書面による同意を得ることなく本契約上の地位を第三者に譲渡又は担保に供する行為
(16) 本件参照系 API に対する第三者のアクセスを妨害する行為
(17) 本件参照系 API を経由して甲のシステムにアクセスするためのトークン等の認証情報を第三者(提携第三者を除く。)へ開示又は漏洩する行為
(18) 甲の運営するサイト若しくはサーバその他甲のシステムに関し、コンピュータウイルスを感染させる又はハッキング、改ざん若しくはその他の不正アクセスを行う等、甲のシステムの安全性を危殆化する行為
(19) 公序良俗に反し、又は他人に著しく不快感を与える行為
(20) 前各号に類する行為
2. 甲は、乙が前項各号のいずれかに該当する行為を行ったと甲が合理的に認めたと きは、乙に対し直ちに本件参照系 API の使用を停止するよう求めること、又は、 事前の通知若しくは催告なくして本件参照系 API の使用停止その他の方法により、本件サービスとの連携を停止することができる。
第 12 条(甲の義務)
1. 甲は、顧客が本件参照系 API を通じて本件サービスを受ける場合に、顧客の請求により本件情報が乙に対して提供されることについて、当該顧客から同意を取得するものとする。
2. 甲は、甲が自らの提供する本件銀行機能に関し、コンピュータウイルスへの感染防止、第三者によるハッキング、改ざん、その他のネットワークへの不正侵入又は情報漏洩等を防止するために必要な安全対策を、甲の費用と責任において講じるものとする。甲がかかる安全対策を怠ったことによる損害又は損失の責任は甲
が負うものとする。
3. 甲は、自らの顧客に対し本件サービスに関する本件銀行機能を提供するにあたり、顧客の口座情報の外部への流出・漏洩若しくは不正利用が発生した場合又はその おそれがある場合(顧客からその旨申告があった場合を含む。)には、乙に対し、 直ちに報告するものとする。顧客の口座情報の外部への流出・漏洩、その他の不 正利用が発生した場合又はそのおそれがある場合、甲は、乙に対し、乙と連携し て情報収集にあたるため、必要に応じ、口座情報、トークンその他の当該顧客を 特定するための情報を開示することができるものとする。
第 13 条(乙の義務)
1. 乙は、顧客との間で、本件サービスの方法及び内容に関し、利用契約(顧客一般に適用される乙の本件サービスに関する利用規約の定めに従って締結される契約又は規約も含まれる。)を締結するものとする。乙は、当該利用契約を新たに顧客と締結する場合は、本件サービスの方法及び内容並びに当該利用契約の各条項について、甲に対し事前に通知するものとする。乙は、本件サービスの方法及び内容を変更し、もって利用契約の変更を行う場合にも、甲に事前に通知したうえで、乙の顧客との間で、利用契約の変更を行うものとする。
2. 乙が本件参照系 API を経由して甲のシステムにアクセスするために必要な、コンピュータ、ソフトウェアその他の機器、クラウド環境又はクラウド環境にアクセスするために必要な利用環境、通信回線その他の通信回線等の準備及び維持は、乙の費用と責任において行うものとする。乙がかかる準備及び維持を怠ったことによる損害又は損失の責任は乙が負うものとする。
3. 乙は、本件サービスに関し、コンピュータウイルスへの感染防止、第三者による ハッキング、改ざん又はその他のネットワークへの不正侵入又は情報漏洩等を防 止するために必要な安全対策を、乙の費用と責任において講じるものとする。乙 がかかる安全対策を怠ったことによる損害又は損失の責任は乙が負うものとする。
4. 乙は、自らの顧客に対し、本件サービスを提供するに当たり、顧客の口座情報の外部への流出・漏洩若しくは不正利用が発生した場合又はそのおそれがある場合
(顧客からその旨申告があった場合を含む。)には、第 7 条第 1 項の規定に従うものとし、甲は、乙に対し、乙と連携して情報収集にあたるため、必要に応じ、口座情報、トークンその他の当該顧客を特定するための情報を開示することができるものとする。この場合、乙は、当該情報を厳重に管理するものとし、情報の管理不十分、使用上の過誤、第三者による不正使用等による損害又は損失は乙が負うものとする。
5. 乙は、乙が甲に対して提出したセキュリティに関するチェックリストに関して、甲乙間において別途確認しセキュリティに関する措置を講じることについて合意がなされた事項がある場合には、実務的に対応可能な合理的期間内に乙において当該合意された措置を講じるものとする。
第 14 条(利用料)
本件参照系 API の利用の対価案件に応じて選択〔は無償/及びその支払条件は別途定めるもの〕とする。
第 15 条(知的財産権の留保)
本件参照系 API に関連する一切の知的財産権は、本契約により乙に譲渡又は移転されるものではない。また、甲は、乙に対して本件参照系 API の使用権のみを許諾するも
のとし、本件参照系 API 及びその一切の派生物に係る著作権、特許権その他の知的財産権並びに所有権その他いかなる権利も付与するものではない。
第 16 条(不可抗力による免責の一般条項)
本契約に基づく義務の履行遅滞又は履行不能が、天災、労働紛争、停電、通信インフ ラの故障、公共サービスの停止、地震、嵐その他の重大な自然現象、暴動、政府の行 為若しくは命令、テロ行為、及び戦争等の不可抗力により生じた場合には、当該履行 遅滞又は履行不能につき、各当事者は相手方に対し責任を負わないものとする。但し、顧客との関係で甲及び乙が免責されない場合の責任分担は、甲乙協議の上行うものと するが、本契約において別段の定めがある場合にはこれに従う。
第 17 条(甲による表明及び保証)
甲は、乙に対し、本契約の締結日において、別紙【5】(甲の表明及び保証)記載の事項がxxに相違ないことを表明及び保証する。
【別紙【5】(甲の表明及び保証)】
1 甲に関する事項
(1) (設立及び存続)
甲は、日本法に基づき適法かつ有効に設立され、かつ存続する株式会社であり、現在行っている事業を行うために必要な権限及び権能を有していること。
(2) (本契約の締結及び履行)
甲は、本契約を適法かつ有効に締結し、これを履行するために必要な権限及び権能を有していること。甲による本契約の締結及び履行は、その目的の範囲内の行為であり、甲は、本契約の締結及び履行に関し、法令又は甲の定款その他の内部規則において必要とされる手続を全て適法に履践していること。
(3) (強制執行可能性)
本契約は、甲により適法かつ有効に締結されており、かつ乙により適法かつ有効に締結された場合には、法的倒産手続に関する法令に従い制約を受ける場合を除き、甲の適法、有効かつ法的拘束力のある義務を構成し、かつ、かかる義務は、本契約の各条項に従い、甲に対して執行可能であること。
(4) (法令との抵触の不存在)
甲による本契約の締結及び履行は、(i)甲に適用ある法令に違反するものではなく、かつ、(ii)甲の定款その他の内部規則に違反するものではないこと。
(5) (許認可の取得)
甲は、本件銀行機能の提供並びに本契約の締結及び履行のために必要とされる許認可を全て関連する法令の規定に従い適法かつ有効に取得又は履践していること。
(6) (情報の正確性)
甲の知る限り、甲が乙に対して開示した情報(口頭により提供されたものを含む。)は、重要な点においてxxかつ正確であり、記載・提供されるべき情報が省略されておらず、誤解を与えないために必要な情報が含まれていること。
(7) (訴訟等)
甲の知る限り、本契約上の義務の履行に重大な悪影響を及ぼす、または及ぼす可能性のあるいかなる訴訟、仲裁、行政手続その他の紛争解決手続も開始されておらず、また開始されるおそれのないこと。
第 18 条(乙による表明及び保証)【報告書 P30(b)(3.4.1(b))】
乙は、甲に対し、本契約の締結日において、別紙【6】(乙の表明及び保証)記載の事項がxxに相違ないことを表明及び保証する。
【別紙【6】(乙の表明及び保証)】
1 乙に関する事項
(1) (設立及び存続)
乙は、日本法に基づき適法かつ有効に設立され、かつ存続する株式会社であり、現在行っている事業を行うために必要な権限及び権能を有していること。
(2) (本契約の締結及び履行)
乙は、本契約を適法かつ有効に締結し、これを履行するために必要な権限及び権能を有していること。乙による本契約の締結及び履行は、その目的の範囲内の行為であり、乙は、本契約の締結及び履行に関し、法令又は乙の定款その他の内部規則において必要とされる手続を全て適法に履践していること。
(3) (強制執行可能性)
本契約は、乙により適法かつ有効に締結されており、かつ甲により適法かつ有効に締結された場合には、法的倒産手続に関する法令に従い制約を受ける場合を除き、乙の適法、有効かつ法的拘束力のある義務を構成し、かつ、かかる義務は、本契約の各条項に従い、乙に対して執行可能であること。
(4) (法令との抵触の不存在)
乙による本契約の締結及び履行は、(i)乙に適用ある法令に違反するものではなく、かつ、(ii)乙の定款その他の内部規則に違反するものではないこと。
(5) (許認可の取得)
乙は、本件サービスの提供並びに本契約の締結及び履行のために必要とされる許認可を全て関連する法令の規定に従い適法かつ有効に取得又は履践していること。
(6) (情報の正確性)
乙の知る限り、乙が甲に対して開示した情報(口頭により提供されたものを含む。)は、重要な点においてxxかつ正確であり、記載・提供されるべき情報が省略されておらず、誤解を与えないために必要な情報が含まれていること。
(7) (訴訟等)
乙の知る限り、本契約上の義務の履行に重大な悪影響を及ぼす、または及ぼす可能性のあるいかなる訴訟、仲裁、行政手続その他の紛争解決手続も開始されておらず、また開始されるおそれのないこと。
2 乙の本件サービスのセキュリティ対策および利用者保護に関する事項
乙が甲に対して提出したセキュリティに関するチェックリストにおける記載が、乙の知る限りxxであること。
第 19 条(反社会的勢力の排除)
1. 甲及び乙は、現在、暴力団、暴力団員、暴力団員でなくなった時から 5 年を経過しない者、暴力団準構成員、暴力団関係企業、総会屋等、社会運動等標ぼうゴロ又は特殊知能暴力集団等、その他これらに準ずる者(これらを以下、「暴力団員等」という。)に該当しないこと、及び次の各号のいいずれにも該当しないことを表明し、かつ将来にわたっても該当しないことを確約する。
(1) 暴力団員等が経営を支配していると認められる関係を有すること
(2) 暴力団員等が経営に実質的に関与していると認められる関係を有すること
(3) 自己若しくは第三者の不正の利益を図る目的又は第三者に損害を加える目的をもってするなど、不当に暴力団員等を利用していると認められる関係を有すること
(4) 暴力団員等に対して資金等を提供し、又は便宜を供与するなどの関与をしていると認められる関係を有すること
(5) 役員又は経営に実質的に関与している者が暴力団員等と社会的に非難されるべき関係を有すること
(6) その他前各号に準ずる者
2. 甲及び乙は、自ら又は第三者を利用して次の各号に該当する行為を行わないことを確約する。
(1) 暴力的な要求行為
(2) 法的な責任を超えた不当な要求行為
(3) 取引に関して、脅迫的な言動をし、又は暴力を用いる行為
(4) 風説を流布し、偽計を用い又は威力を用いて相手方の信用を毀損し、又は相手方の業務を妨害する行為
(5) その他前各号に準ずる行為
3. 甲又は乙が、第1項各号のいずれかに該当し、若しくは前項各号のいずれかに該当する行為をし、又は第1項の規定にもとづく表明・確約に関して虚偽の申告をしたことが判明した場合には、これによって相手方に発生した一切の損害、損失又は費用を賠償し、又は補償する。
第 20 条(契約期間)
1. 本契約の期間は、平成●年●月●日より平成●年●月●日までの 1 年間とする。
2. 契約終了日の 6 か月前までに、甲又は乙が相手方に対し書面により本契約を終了する旨通知しない限り、本契約は、1 年間同一の条件にて自動的に更新され、以後も同様とする。但し、xは、合理的理由なく本契約の更新を拒絶しないものとする。
第 21 条(契約の終了)
1. 甲又は乙は、相手方に対し 6 か月前に書面により通知することにより、本契約を解約することができる。但し、甲は、合理的理由なく本契約を解約しないものとする。
2. 甲及び乙は、相手方が、以下の各号のいずれかの事由に該当する場合、事前に通知又は催告することなく、本契約を解約することができる。
(1) 本契約について重大な違反があった場合。
(2) 営業許認可、登録等について取消等の重大な処分を監督官庁等から受けた場合。
(3) 所有する財産について、第三者から仮差押、仮処分、保全差押若しくは差押 の命令、通知が発送されたとき、又はその他の強制執行の申立を受けた場合。
(4) 支払停止の状態になった場合又は手形交換所の取引停止処分を受けた場合。
(5) 破産、民事再生、会社更生、特別清算等の法的整理手続若しくは私的な整理手続の開始の申立を行った場合、又はこれらについての申立を受けた場合。
(6) 解散、合併、会社分割、営業若しくは事業の全部又は重要な一部の譲渡を決議した場合。
(7) 第 19 条(反社会的勢力の排除)第 1 項各号のいずれかに該当し、若しくは同条 2 項各号のいずれかに該当する行為をし、又は同条 1 項の規定にもとづく表明・確約に関して虚偽の申告をしたことが判明した場合。なお、本号においては、乙の委託先が同条第 1 項各号のいずれかに該当し、若しくは同条 2項各号のいずれかに該当する行為をした場合も同様とする。
(8) 監督当局から第 9 条に定める乙の提供・運営するアプリケーションにおけるサービスと本件銀行機能との連携の停止要請又は本件参照系 API 使用の停止要請を受けた場合。
(9) 本契約又は乙が別途定める使用目的及び使用範囲を超えて、本件参照系APIを使用した場合。
(10) 前各号のほか、本契約上の義務の履行に重大な影響を及ぼす事由が発生した場合又は本契約を存続させることが不適当と認められる相当の事由がある場合。
3. 前 2 項にもとづく本契約の解約は、甲又は乙の相手方に対する損害賠償請求権の行使を妨げない。
第 22 条(守秘義務)
1. 甲及び乙は、本契約に関し相手方より開示された情報その他本契約に関し知り得 た情報であって、かつ、開示時において相手方より秘密情報である旨明示された 情報のうち本件情報に該当しないもの(以下「秘密情報」という。)については、本契約の有効期間中及び本契約終了後も厳に秘密として保持し、本契約の目的以 外の目的に使用してはならず、相手方の書面による事前の承諾なしに第三者に開 示、漏洩してはならない。但し、関係監督官庁、裁判所、その他政府機関より要 請があった場合及び法令等にもとづく場合は、開示者へ通知を行うことにより開 示することができるものとする。
2. 前項の規定にかかわらず、以下の各号の一に該当する情報は秘密情報にあたらないものとする。但し、個人情報保護法第 2 条第 1 項に定める「個人情報」の取扱いについては、以下に該当するものであるか否かに関わらず、個人情報保護関連法令の規定に従うものとする。
(1) 相手方から開示された秘密情報によることなく独自に開発した情報
(2) 相手方から開示される以前に公知であった情報
(3) 相手方から開示された後に自らの責によらずに公知となった情報
(4) 相手方から開示される以前から自ら保有していた情報
(5) 正当な権限を有する第三者から守秘義務を負わずに取得した情報
3. 第 1 項に定義する秘密情報に本件情報及び本件情報に何らかの削除、追加、変更又は加工等した情報は含まれないものとし、顧客の指示若しくは承諾がある場合
を含め、本件情報の取り扱いについては第 8 条(セキュリティ)の規定に従い、本件情報に何らかの削除、追加、変更又は加工等した情報の取り扱いは顧客の指示もしくは承諾に基づいて行うものとする。
4. 甲乙間で別途守秘義務契約等が締結された場合であっても、本契約に関して授受される秘密情報については、当該守秘義務契約等に係る契約書に、明示的に、本契約に定める守秘義務条項に優先する旨の規定が置かれない限り、当該守秘義務契約等に関わらず、本契約の定めが優先的に適用されるものとする。
第 23 条(損害賠償)
甲及び乙は、本契約において別段の定めがない事項については、本契約に関連して、自己の責に帰すべき事由により他方当事者に与えた損害を賠償するものとする。
第 24 条(契約終了の措置等)
1. 本契約が期間満了、解約又は解除により終了した場合、次の各号の定めに従う。
(1) 乙は、自己の占有又は管理下にある本件参照系 API 及びその派生物並びにこれらに関連する資料として甲乙間で合意した資料(これらの複製物を含む。)のすべてを消去及び破棄するものとする。但し、乙及び提携第三者が開発したアプリケーション等並びに本件情報は、本項の対象とはならない。
(2) 本契約の終了時において、有効期限未到来のアクセストークン及び/又はリ フレッシュトークンが存在する場合、甲及び乙は、当該トークンを失効させ、又は接続を遮断する等、トークンを利用できないようにするための措置を講 ずるべく、互いに必要な協力するものとする。
2. 乙が前項の定めに従わなかったために乙に生じた損害又は損失等に関し、甲は何らの責任を負わない。
3. 本契約終了後(但し、終了事由の如何を問わない。)であっても、第 1 条、第 3 条、第 7 条から第 10 条、第 12 条、第 13 条、第 15 条から第 19 条、第 21 条第 3 項、第 22 条、第 23 条、第 25 条、第 26 条、第 28 条及び本条は存続するものとする。
第 25 条(譲渡)
甲及び乙は、相手方の書面による事前の承諾のない限り、本契約上の地位及び本契約にもとづく権利・義務の全部又は一部を第三者に譲渡、承継、貸与又は第三者のための担保に供してはならない。
第 26 条(契約の成立及び変更)
本契約の成立及び変更は、別段の定めのない限り、甲及び乙の権限ある代表者若しくは代理人の記名捺印又は電子署名法の要件を満たす電子署名のなされた文書又は電磁的記録のみによりこれを行う。
第 27 条(協議)
本契約に規定がない事項及び本契約に疑義が生じた事項については、甲及び乙は誠実に協議する。
第 28 条(準拠法及び合意裁判管轄)
1. 本契約は日本法に準拠する。
2. 本契約に関する紛争については、東京地方裁判所を第xxの専属的合意管轄裁判所とする。
以上、本契約成立の証として、[紙媒体で作成の場合:本書を 2 通作成し、甲乙は
記名押印のうえ、各 1 通を保有する。/電子契約の場合:本書ファイルを作成し、甲乙は電子署名法の要件を満たす電子署名のうえ、各ファイルを保有する。]
平成●●年●月●日
(甲)
(乙)